描述
开 本: 16开纸 张: 胶版纸包 装: 平装是否套装: 否国际标准书号ISBN: 9787121288593丛书名: 经典译丛·网络空间安全
目??录
Chapter 1?Introduction
???? ?概论 001
1.1?What is Computer Security?
?????什么是计算机安全? 002
1.2?Threats
?????威胁 006
1.3?Harm
?????危害 021
1.4?Vulnerabilities
?????脆弱点 028
1.5?Controls
?????控制 028
1.6?Conclusion
?????总结 031
1.7?What’s Next?
?????下一步是什么? 032
1.8?Exercises
?????习题 034
Chapter 2?Toolbox: Authentication, Access Control, and Cryptography
???? ?工具箱:鉴别、访问控制与加密 036
2.1?Authentication
?????鉴别 038
2.2?Access Control
?????访问控制 072
2.3?Cryptography
?????密码编码学 086
2.4?Exercises
?????练习 127
Chapter 3?Programs and Programming
??? ??程序和编程 130
3.1?Unintentional (Nonmalicious) Programming Oversights
?????无意的(非恶意的)程序漏洞 132
3.2?Malicious Code—Malware
?????恶意代码——恶意软件 165
3.3?Countermeasures
?????对策 195
3.4?Conclusion
?????总结 228
3.5?Exercises
?????练习 228
Chapter 4?Operating Systems
?? ???操作系统 230
4.1?Security in Operating Systems
?????操作系统的安全性 230
4.2?Security in the Design of Operating Systems
?????安全操作系统的设计 258
4.3?Rootkit
?????Rootkit 279
4.4?Conclusion
?????总结 288
4.5?Exercises
?????习题 289
Chapter 5?Databases
???? ?数据库 291
5.1?Introduction to Databases
?????数据库简介 292
5.2?Security Requirements of Databases
?????数据库的安全需求 297
5.3?Reliability and Integrity
?????可靠性和完整性 303
5.4?Database Disclosure
?????数据库泄露 308
5.5?Data Mining and Big Data
?????数据挖掘和大数据 325
5.6?Conclusion
?????总结 339
5.7?Exercises
?????习题 339
Chapter 6?Networks
??? ??网络 341
6.1?Network Concepts
?????网络的概念 342
6.2?Threats to Network Communications
?????网络通信的威胁 354
6.3?Wireless Network Security
?????无线网络安全 374
6.4?Denial of Service
?????拒绝服务 396
6.5?Distributed Denial-of-Service
?????分布式拒绝服务 421
6.6?Cryptography in Network Security
?????网络安全中的密码学 432
6.7?Firewalls
?????防火墙 451
6.8?Intrusion Detection and Prevention Systems
?????入侵检测和防御系统 474
6.9?Network Management
?????网络管理 489
6.10?Conclusion
?????总结 496
6.11?Exercises
?????习题 496
Chapter 7?Management and Incidents
???? ?安全管理和事件 501
7.1?Security Planning
?????安全计划 501
7.2?Business Continuity Planning
?????业务持续计划 512
7.3?Handling Incidents
?????事件处理 516
7.4?Risk Analysis
?????风险分析 522
7.5?Dealing with Disaster
?????处理灾难 540
7.6?Conclusion
?????总结 553
7.7?Exercises
?????练习 554
Chapter 8?Details of Cryptography
??? ??密码学精讲 555
8.1?Cryptology
?????密码学 556
8.2?Symmetric Encryption Algorithms
?????对称加密算法 566
8.3?Asymmetric Encryption with RSA?
?????RSA非对称加密 582
8.4?Message Digests
?????消息摘要 586
8.5?Digital Signatures
?????数字签名 589
8.6?Quantum Cryptography
?????量子密码学 594
8.7?Conclusion
?????总结 598
Chapter 9?Privacy
??? ??计算机中的隐私 600
9.1?Privacy Concepts
?????隐私的概念 601
9.2?Privacy Principles and Policies
?????隐私的原理和政策 610
9.3?Authentication and Privacy
?????鉴别和隐私 624
9.4?Data Mining
?????数据挖掘 630
9.5?Privacy on the Web
?????网站上的隐私 633
9.6?Email Security
?????电子邮件安全性 646
9.7?Privacy Impacts of Emerging Technologies
?????对新技术的影响 650
9.8?Where the Field is Headed
?????领域前沿 658
9.9?Conclusion
?????总结 659
9.10?Exercises
?????习题 659
Chapter 10?The Web—User Side
?? ???Web和用户 661
10.1?Browser Attacks
?????针对浏览器的攻击 663
10.2?Web Attacks Targeting Users
?????针对用户的Web攻击 674
10.3?Obtaining User or Website Data
?????获取用户或网站的数据 689
10.4?Email Attacks
?????电子邮件攻击 696
10.5?Conclusion
?????总结 706
10.6?Exercises
????? 习题 707
Chapter 11?Cloud Computing
???? ?云计算 708
11.1?Cloud Computing Concepts
????? 云计算的概念 708
11.2?Moving to the Cloud
????? 迁移到云端 710
11.3?Cloud Security Tools and Techniques
????? 云安全工具与技术 717
11.4?Cloud Identity Management
????? 云认证管理 725
11.5?Securing IaaS
????? 加固IaaS 736
11.6?Conclusion
????? 总结 740
11.7?Exercises
????? 习题 741
Chapter 12?Emerging Topics
??? ??新兴问题 743
12.1?The Internet of Things
????? 物联网 744
12.2?Economics
????? 网络安全经济学 751
12.3?Electronic Voting
????? 电子投票 764
12.4?Cyber Warfare
????? 网络战争 771
12.5?Conclusion
????? 总结 780
Bibliography
参考文献 781
导??读
继2004年、2007年分别翻译了本书的第三版、第四版之后,我们再次翻译了其第五版。原书得到美国著名信息安全专家WillisH.Ware教授(兰德公司)的热情推荐并畅销美国,并成为美国各大学院校广为使用的经典教材,更被业界视为计算机安全攻击和对策的权威指南。本书经过十几年的改编再版,内容始终保持经典、丰富和新颖,循序渐进,且案例翔实生动,深入浅出,有较大的深度和广度。本书第五版紧跟技术潮流,随着第三个合著者JonathanMargulies的加入,增加了三章新内容(第10章web和用户、第1章云计算、第12章新兴问题),并对每个章节进行了细微调整。本书第五版不仅在内容上得到了丰富,而且理论体系结构更趋合理,体现了本书作者深厚的技术沉淀。特别值得一提的是,本书大量篇幅侧重讨论和分析代码,因为有相当多的危险或多或少都是由计算机上执行的程序代码引起的。读者可以随意选取自己感兴趣的主题阅读,阅读本书需要的背景知识就是编程和计算机系统。本书适合信息安全或计算机专业本科生、研究生、广大相关领域的研究人员和专业技术人员阅读和参考。
本书还特别推出了添加中文评注的英文版。在中文评注的英文版中,每章章首新增了中文要点概述,并在章节中的重要术语、关键技术、新兴概念等内容处添加了中文评注,特别是对一些容易引起读者误解的难点进行了评注,以便读者更好地阅读和理解。除此之外,我们结合在教学工作中的经验和体会,对英文原版的章节顺序略作了调整,删减了原著的第11章法律与道德,同时各章习题略作了删减。
英文版的第1章概论:介绍信息安全的主要术语和定义,给出一些详细的实例来说明这些术语是如何使用的;第2章工具箱:鉴别、访问控制与加密:围绕身份识别和鉴别、访问控制、加密技术三个基本概念进行展开,深入地分析了安全领域的主要技术;第3章程序与编程:介绍程序相关的内容,详细分析一些个人编写且仅供个人使用的程序,如病毒、蠕虫、特洛伊木马等;第4章操作系统:介绍操作系统的基础特性,使读者了解操作系统的设计特性、对象保护、内存保护机制,并深入分析作为用户和攻击者之间的一条强大防御线的安全性;第5章数据库:介绍数据库管理系统和大数据应用;第6章网络:从用户的个人电脑过渡到网络,阐述了网络中的各种脆弱点和保护机制;第7章安全管理和事件:分析计算机安全管理部分,探讨管理是如何计划和解决计算机的安全问题的;第8章密码学精讲:介绍密码学,对密码学、密码分析的概念、对称加密和非对称加密、消息摘要、数字签名以及量子密码学等进行概述;第9章计算机中的隐私:对计算机中的隐私进行探讨,讨论信息隐私的意义,研究识别和鉴别与信息隐私的密切关系,以及隐私与因特网的关系;第10章Web和用户:进一步介绍用户所熟悉的应用程序——浏览器,通过丰富的案列分析各种针对浏览器、网站、敏感数据和电子邮件的攻击技术;第11章云计算:探索云计算,对云服务的概念、风险和安全工具进行介绍;第12章新兴问题:提出在计算机安全领域出现的一些新兴话题,如物联网、网络安全经济学、电子投票和网络战争,引发读者思考未来计算机安全领域的研究和发展主题。
本书英文版的中文评注工作由电子科技大学李毅超教授、西南石油大学梁宗文博士、电子科技大学李晓冬3位该书的译者共同负责完成。
序??言
来源于作者:我们在第三版和第四版的《信息安全原理与应用》中提供了Willis Ware写的前言。在他写的前言中,囊括了计算机安全早期岁月的一些事情,描述了他们早些年在计算机领域关注的问题,这些问题时至今日仍然有效。
Willis不断努力以求使其从事的工作更加完善。事实上,他全面的分析能力和令人信服的领导能力对这些工作的终成功作出了巨大贡献。现在很少有人知道Willis的名字,但欧盟数据保护指令却被更多的人所熟知(欧盟数据保护指令是Willis提交给美国公共事业部门的报告[WAR73a]所直接产生的一个分支)。Willis这么做只是希望大家看重他的思想,而不是为了个人名声。
不幸的是,Willis于2013年11月去世,享年93岁。考虑到他写的前言对我们的读者依然重要,因此出于尊敬和感激,我们在此再次发布他的文字。
20世纪50年代到60年代,著名的计算机联合会议(Joint Computer Conferences,JCC),把计算机技术专业人员和用户召集在了一起。JCC一年两届,初被称为东部和西部JCC,后来改名为春季和秋季JCC,再后来又更名为全国计算机年会AFIPS。在这个背景下,计算机安全(后来命名为信息系统安全,现在也称为“国家信息基础设施安全的保护”)不再是机要部门、防御部门关心的话题,它开始走向公众。
其时,RAND(兰德)公司的Robert L. Patrick,John P. Haverty和我本人都在谈论着国家及其公共机构对计算机技术日益增长的依赖性。我们注意到,已安装的系统无法保证自身及其数据不受入侵攻击的破坏。我们认为,此时应该促使技术群体和用户群体去关注计算机安全了。
美国国家安全局(National Security Agency,NSA)的远程访问分时系统的开发使这个设想成为现实。该分时系统具有一套完整的安全访问控制机制,它运行在Univac 494机器上,为终端和用户提供服务,不仅是马里兰州Fort George G. Meade总部内的,而是世界范围内的终端和用户。很幸运,我了解该系统的详细情况。
我在RAND公司另两位工作人员(Harold Peterson博士和Rein Turn博士)和NSA的Bernard Peters的帮助下,组织了一批论文并将它们提交给了SJCC(春季JCC)大会的管理方,并建议由我来主持该届JCC的论文会议。大会方接受了这个提议[1],会议于1967年在大西洋城(NJ)会议大厅举行。
此后不久,一个国防承包商要求一台运行在远程访问模式下的大型机能同时兼顾机密保护和商业应用。受这一要求的驱使,并通过美国高级研究计划署(Advanced Research Projects Agency,ARPA)和后来的美国国防科学局(Defense Science Board,DSB)的立案,美国国防部组织了一个专门研究计算机系统安全控制问题的委员会,由我担任主席。委员会的目的是制订一个文档,该文档可以作为美国国防部(DoD)在这个问题上的政策立场的基础。
委员会的报告初是作为一个机密文件出版的,并于1970年1月正式提交给发起者(DSB)。此报告后来解密,并于1979年10月由RAND公司再版。这一报告得到了广泛的传播[2],而且还得到了一个“警示报告”的绰号。如今,在RAND公司的网站上还可以找到这份报告和相关的历史介绍[3]。
后来,美国空军(USAF)资助了另一个由James P. Anderson担任主席的委员会。它的报告于1972年出版[4],推荐了一个6年研发安全计划,总预算大约是800万美元。美国空军根据这个安全计划投资了数个项目[5],其中3个为特定的计算机设计,并且被用来实现一个带有安全控制的操作系统。
终,这些举措促成了一个由NSA发起的“标准和评估”(Criteria and Evaluation)计划。该计划在1983年出版的“桔皮书”(Orange Book)[6]和随后它所支持的绰号为“彩虹系列”的文件组中达到鼎盛。后来,在20世纪80年代直至20世纪90年代[7],这个计划成为了一个国际性主题,并且成为ISO标准[8]。
了解系统安全研究在近数十年中的发展是很重要的。长期以来,防御部门都是以文档的形式来保护机密信息。而今,它已经演变为一个非常精细的方案,将各种需保护的信息划分成组、子组和超级组,所有组都必须是得到许可的人才能访问,而且有必要访问才能访问。它带给我们的加密技术和在传送过程中保护机密信息的经验,足以影响一个世纪[9]。后,它认识到安全中的人员问题以及在相关人员间建立可信度的必要性。它当然也认识到了物理安全的重要性。
因此,计算机安全问题,正如20世纪60年代及后来人们所理解的,就是:(1)如何在计算机系统中建立一组访问控制,这些访问控制实施或模仿的是以往纸介质环境中的处理流程;(2)一些相关问题,如保护软件免受未授权的修改、破坏或非法使用,以及将系统安置在一个安全的物理环境中,该环境有着适当的管理监控和操作规程。我们对安全方面的认识还不够深入,主要表现在软件及其相关硬件方面,也就是说,还存在着使软件的正常行为出错和被破坏的风险。在通信、人员和物理安全方面,有关规定和经验太多,但效果并不佳。把各个方面结合在一起,产生一个全面的、安全的系统和操作环境是很重要的。
如今,世界已经发生了根本性的改变。桌上型计算机和工作站已经出现并日益激增。因特网不断繁荣,万维网(World Wide Web)日益昌盛。网络在“爆炸”,计算机系统之间进行通信已成为必然。很多商业交易都基于网络;很多商业团体(特别是金融机构)都进入了网络。确切地说,世界上的任何一个人都可能是计算机“用户”。计算机联网是普遍现象,目标就是要使信息系统不断扩展和延伸。
随着网络的发展,基于计算机的信息系统(其硬件、软件、数据库和通信)都暴露在一个无法控制的环境中:终端用户、网络管理员、系统所有者甚至政府都无法控制。我们必须做的是,在社会可接受的法律框架下,提供适当的技术、规程、操作以及环境,来抵御各种可能出现的或潜在的威胁。
威胁来自个人和团体、国内和国外。恶意渗透系统或者编制恶意软件的动机(通常伴有攻击性或破坏性的结果)可能是满足个人智力需求、间谍活动、经济回报、报复、非暴力反抗(civil disobedience)或其他原因。信息系统的安全环境已发生了很大的变化:从在有限范围内只与彼此了解且遵纪守法的用户群体交互,到在全球范围内与不了解且不可信的用户进行交互。重要的是,现在的安全控制必须
评论
还没有评论。